Der EU Cyber Resilience Act: Mehr Cybersecurity für Produkte?

Monika Menz

Die EU-Kommission will noch dieses Jahr einen Vorschlag für eine neue Verordnung zur Cybersecurity für Produkte – den Cyber Resilience Act (CRA)  – veröffentlichen. In diesem Beitrag erläutern wir Ihnen, was das "Gesetz zur Cyberwiderstandsfähigkeit" von Produkten für Unternehmen bedeutet, und geben Ihnen schon jetzt Tipps zur Umsetzung.

I. Für welche Unternehmen ist der CRA relevant?

Der CRA soll Cybersicherheitsanforderungen an digitale Produkte und zugehörige Nebendienstleistungen während ihres gesamten Lebenszyklus regeln. Der Anwendungsbereich des CRA ist denkbar weit und wird insbesondere für alle Produkte gelten, die bisher nicht durch andere Regelungen der EU, wie z.B. die delegierte Verordnung zur Funkanlagenrichtlinie (RED) oder die Medizinprodukteverordnung (MDR), erfasst werden. Neben Hardwareprodukten, wie z.B.  Sensoren und Kameras, Smartcards, mobile Geräte oder Netzwerkgeräte wie Router und Switches, sollen insbesondere auch Softwareprodukte erfasst werden.

II. Welches Ziel hat der CRA?

Ziel des CRA ist die Schaffung eines einheitlichen Sicherheitsstandards für digitale Produkte auf dem Europäischen Markt. Dies soll in einer zunehmend vernetzten Umgebung dem steigenden Bedürfnis nach Cybersicherheit und Resilienz der IT-Systeme sowie dem Verbraucherschutz dienen. Zugleich möchte die EU-Kommission die bestehenden Cybersicherheitsanforderungen an Produkte im Binnenmarkt vereinfachen und der zunehmenden Bedeutung von cybersicheren Produkten Rechnung tragen.

III. Worauf müssen sich Unternehmen einstellen?

Neben grundlegenden Cybersicherheitsanforderungen sollen Verpflichtungen für Unternehmen sowie Bestimmungen zur Konformitätsbewertung, zur Notifizierung von Konformitätsbewertungsstellen und zur Marktüberwachung festgelegt werden. Die Ausarbeitung des CRA befindet sich aber noch in einem frühen Stadium, weshalb die konkreten Regelungen nicht absehbar sind. Die Kommission zieht aktuell unterschiedliche Ansätze in Betracht, insbesondere:

  • freiwillige Maßnahmen, wie bspw. freiwillige Zertifizierungssysteme,
  • "ad hoc"-Regulierungsmaßnahmen, in deren Rahmen bei Auftauchen neuer Risiken die bestehenden Rechtsvorschriften ergänzt oder geändert würden,
  • einen kombinierten Ansatz aus verbindlichen und unverbindlichen Vorschriften sowie
  • eine allgemeine horizontale Regulierung.

IV. Wie geht es weiter?

Am 25.05 endet die öffentliche Konsultation der EU-Kommission zum CRA. Sie wird unter Berücksichtigung der daraus resultierenden Ergebnisse einen Vorschlag für einen entsprechenden Rechtsakt erarbeiten. Die Veröffentlichung dieses Vorschlags ist für das dritte Quartal 2022 vorgesehen. Wann und ob dieser Vorschlag in Kraft tritt, kann zum jetzigen Zeitpunkt nicht beurteilt werden.

V. Was sollten Unternehmen schon jetzt tun?

Unabhängig davon, für welchen konkreten Weg sich der europäische Gesetzgeber entscheidet, ist klar, dass Unternehmen im betroffenen Sektor die erhöhten Anforderungen an die Cybersicherheit ihrer Produkte schon jetzt auf der Agenda haben sollten. Der Trend sowohl zu einer zunehmenden Regulierung durch den Gesetzgeber als auch zu steigenden Erwartungen von Verbrauchern an einen erhöhten Sicherheitsstandard digitaler Produkte  ist eindeutig. Nicht zuletzt, weil auch die Bedrohungen stetig zunehmen. Um nicht wegen knapper Umsetzungsfristen ins Hintertreffen zu geraten, sollten Unternehmen proaktiv prüfen, welche neuen Vorschriften auf sie zukommen, und diese in ihr Cybersecurity Compliance Management einbeziehen.

[Mai 2022]